Analyse technique : chaîne d'infection malspam vers loader .NET fileless en 5 étapes

🔍 Contexte

Publié le 3 juin 2026 par Huntress (mis à jour le 5 juin 2026), cet article est une analyse technique détaillée d’une infection observée en mai 2026 par le SOC Huntress. L’attribution initiale à DesckVB RAT a été corrigée : le malware est désormais identifié comme un loader .NET non identifié.

📧 Vecteur initial : malspam via DoubleClick

L’accès initial s’effectue via un email malveillant contenant une pièce jointe HTML (Bestellung_2026.html, « bon de commande » en allemand). Cette pièce jointe effectue une redirection meta-refresh immédiate vers une URL de tracking Google DoubleClick (ad.doubleclick.net/ddm/trackclk/...), exploitant la haute réputation de ce domaine pour contourner les passerelles email.

La chaîne de redirection est la suivante :

• ad.doubleclick.net → fostercareintheus.optimizationprime.com (redirecteur)
• → bth.startthewave.org/a/#<email> (kit de livraison)
• → POST vers pengajian.muliastudy.com/images/edu/u.php → livraison d’un ZIP malveillant

🎭 Kit de phishing dynamique

Le kit hébergé sur bth.startthewave.org personnalise la page à la volée à partir de l’adresse email de la victime encodée en base64 dans l’URL : logo de l’entreprise récupéré dynamiquement (Clearbit, logo.dev, favicons), localisation géographique via ipapi.co, titre et pied de page adaptés. Aucun contenu spécifique à l’organisation n’est codé en dur.

⚙️ Chaîne d’infection en 5 étapes

1. HTML : pièce jointe avec redirection meta-refresh
2. JScript (A021185521S210008-11521.js) : se copie dans C:\Users\Public\ktncm.js, décode un blob base64 obfusqué, écrit et exécute nlbzl.ps1
3. PowerShell (nlbzl.ps1) : vérifie la connectivité (redémarre si hors ligne), détecte les outils d’analyse (redémarre si détectés), télécharge le payload depuis andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br, génère shmvg_01.ps1
4. PowerShell stager (shmvg_01.ps1) : charge le loader .NET par réflexion .NET ([Reflection.Assembly]::Load), cible InstallUtil.exe ou MSBuild.exe pour l’injection
5. Loader .NET (03.txt / bl.txt) : déchiffrement multi-couches (XOR/LZX, TripleDES/GZip), injection RunPE dans processus légitimes, C2 via TCP chiffré AES

🛡️ Techniques d’évasion

• Patch AMSI : écrasement du prologue de NtManageHotPatch (Windows 11 24H2+) avec mov eax, 0xC00000BB; ret
• Patch ETW : réécriture de EtwEventWrite avec xor rax, rax; ret
• Anti-sandbox : détection de VirtualBox, VMware, Hyper-V, Parallels, QEMU, Sandboxie, outils d’analyse (Wireshark, OllyDbg, any.run, etc.) → redémarrage forcé
• Living-off-the-land : injection dans InstallUtil.exe et MSBuild.exe (binaires Microsoft signés)
• Nommage NVIDIA : répertoires et clés de registre nommés NVIDEO pour imiter des pilotes légitimes

📡 Infrastructure C2 et configuration

Le loader communique en TCP brut avec AES (PBKDF2) et RSA pour l’échange de clés, avec 5 hashes SHA-256 de certificats épinglés.

🔬 Persistance

• Clés de registre Run et RunOnce sous HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ nommées Update Drivers NVIDEO_<random>
• Tâches planifiées XML (une ponctuelle, une répétitive toutes 8-11 minutes)
• Copie dans le dossier Startup utilisateur

📊 Type d’article

Il s’agit d’une analyse technique approfondie publiée par Huntress, visant à documenter une chaîne d’infection complète pour permettre la détection et la réponse aux incidents.

🧠 TTPs et IOCs détectés

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1055.012 — Process Injection: Process Hollowing (Defense Evasion)
• T1218.004 — System Binary Proxy Execution: InstallUtil (Defense Evasion)
• T1218.003 — System Binary Proxy Execution: CMSTP (Defense Evasion)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1573.002 — Encrypted Channel: Asymmetric Cryptography (Command and Control)
• T1082 — System Information Discovery (Discovery)
• T1518.001 — Software Discovery: Security Software Discovery (Discovery)
• T1620 — Reflective Code Loading (Defense Evasion)
• T1112 — Modify Registry (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1568.001 — Dynamic Resolution: Fast Flux DNS (Command and Control)

IOC

• Domaines : fostercareintheus.optimizationprime.com — VT · URLhaus · ThreatFox
• Domaines : bth.startthewave.org — VT · URLhaus · ThreatFox
• Domaines : pengajian.muliastudy.com — VT · URLhaus · ThreatFox
• Domaines : andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br — VT · URLhaus · ThreatFox
• Domaines : catalogo.castrouria.com — VT · URLhaus · ThreatFox
• Domaines : xtadts.ddns.net — VT · URLhaus · ThreatFox
• Domaines : afxwd.ddns.net — VT · URLhaus · ThreatFox
• URLs : https://bth.startthewave.org/a/ — URLhaus
• URLs : https://pengajian.muliastudy.com/images/edu/u.php — URLhaus
• URLs : https://andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br/GpazlLUWIJ_14_05_Meus_ArquivosDeTexto/03.txt — URLhaus
• URLs : https://andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br/GpazlLUWIJ_14_05_Meus_ArquivosDeTexto/01.txt — URLhaus
• URLs : https://andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br/GpazlLUWIJ_14_05_Meus_ArquivosDeTexto/02.txt — URLhaus
• URLs : https://andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br/GpazlLUWIJ_14_05_Meus_ArquivosDeTexto/PeNo — URLhaus
• URLs : http://catalogo.castrouria.com/c84da/bl.txt — URLhaus
• SHA256 : D5B7247C497788CF0031CEB06E3DF77A45FEF59F1E49633DC7159816D64759B5 — VT · MalwareBazaar
• SHA256 : C61B1941CF756EB7551F7C661743802362728B785ADC22E860D269713DFB01A6 — VT · MalwareBazaar
• SHA256 : C356AFF1A01C2B0DA472E584C8E3C8F875B9A24280435D42836A77B19F5A8C18 — VT · MalwareBazaar
• SHA256 : F1C3EBE78BD8C38559BF3CFCC9A9FA37D221E31780774A3787E26160A61F5348 — VT · MalwareBazaar
• SHA256 : E91FB249AA97BE5C7931E430781167EDFE7BA804720B5F643E6AB70B7E6E74DD — VT · MalwareBazaar
• Fichiers : Bestellung_2026.html
• Fichiers : A021185521S210008-11521.zip
• Fichiers : A021185521S210008-11521.js
• Fichiers : ktncm.js
• Fichiers : zkrbx.txt
• Fichiers : gglhn.txt
• Fichiers : nlbzl.ps1
• Fichiers : shmvg_01.ps1
• Fichiers : 03.txt
• Fichiers : bl.txt
• Fichiers : 01.txt
• Fichiers : 02.txt
• Chemins : C:\Users\Public\ktncm.js
• Chemins : C:\Users\Public\nlbzl.ps1
• Chemins : C:\Users\Public\shmvg_01.ps1
• Chemins : C:\Users\Public\zkrbx.txt
• Chemins : C:\Users\Public\gglhn.txt
• Chemins : %USERPROFILE%\AppData\LocalLow\LocalLow Windows\Program Rules\Program Rules NVIDEO\Program Rules\Program Rules NVIDEO

Malware / Outils

• Unidentified .NET Loader (loader)
• JScript Trojan/Loader (loader)
• RunPE Injector (ClassLibrary1.dll) (tool)
• ClassLibrary3 (.NET stager) (loader)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ huntress.com — source reconnue (liste interne) (20pts)
• ✅ 34479 chars — texte complet (fulltext extrait) (15pts)
• ✅ 37 IOCs dont des hashes (15pts)
• ✅ 3/9 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 20 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• fostercareintheus.optimizationprime.com (domain) → VT (17/91 détections)
• bth.startthewave.org (domain) → VT (7/91 détections)
• pengajian.muliastudy.com (domain) → VT (7/91 détections)

🔗 Source originale : https://www.huntress.com/blog/malspam-to-loader-delivery-chain-analysis